Las sofisticadas operaciones de “llmjacking” obtuvieron acceso robado a modelos Deepseek, solo unas semanas después de su lanzamiento público.
Llmjacking, como proxyjacking Y criptojackingimplica el uso ilícito de los recursos informáticos de otra persona para sus propios fines. En este caso, son las personas que usan populares y de otra manera caros OpenAI, modelos Anthrope Long Language (LLMS) (LLMS)etc., para generar imágenes, sortear las prohibiciones nacionales y más, mientras transmite el proyecto de ley a otra persona.
Más recientemente, los investigadores de Sysdig han observado un hiperactivo Operaciones de Llmjacking, incluido el acceso a modelos intercambiados por Deepseek. Después de que la compañía publicó su modelo Deepseek-V3 el 26 de diciembre, solo tomó unos días llmjackers obtener acceso robado. Del mismo modo, Deepseek-R1 fue liberado el 20 de enero, y los atacantes lo hicieron en sus manos al día siguiente.
“No es solo una moda”, dijo Crystal Morin, estratega de ciberseguridad para Sysdig, LLMJacking. “Está mucho más allá de donde lo descubrimos por primera vez en mayo pasado”.
Cómo funciona llmjacking
En una escala, el uso de LLM puede volverse bastante costoso. Por ejemplo, de acuerdo con los cálculos de Sysdig, el uso de GPT-4 24/7 podría costar un titular de cuentas al norte de medio millón de dólares (aunque Deepseek, actualmente, los pedidos de magnitud son más baratos).
Para aprovechar estos modelos sin tener que incurrir en sus costos, los atacantes roban información de identificación para cuentas de servicio en la nube o claves de interfaz de programación de aplicaciones (API) asociadas con aplicaciones LLM específicas. Luego usan scripts para verificar que estos realmente proporcionen acceso a un modelo deseado.
Luego, integran esta información de autenticación robada en un proxy inverso “OAI” (ORP). Orps pone al usuario y al LLM, proporcionando una capa de seguridad operativa.
La aparente vista previa de Orps, cuyo nombre se deriva, se publicó el 11 de abril de 2023. Desde entonces, se ha bifurcado y configurado muchas veces para incorporar nuevas funcionalidades sigilosas. Las versiones más recientes han incorporado protecciones de contraseña y mecanismos oscuros, como hacer ilegible su sitio web hasta que los usuarios desactivan el CSS en sus navegadores, y eliminen la periodización rápida, cubriendo rastros de atacantes porque usan los modelos. Los proxy también están protegidos por los túneles de CloudFlare, que generan dominios aleatorios y temporales para proteger el servidor privado virtual (VPS) o las direcciones IP de los ORP.
Las nuevas comunidades 4Chan y Discords han prosperado en torno a Orps, porque las personas usan acceso ilegal de LLM para generar contenido NSFW y otros tipos, scripts maliciosos variables o simplemente cosas cotidianas, como ensayos para la escuela. Y en países como Rusia, Irán y China, la gente común usa ORP para evitar las prohibiciones nacionales en el chatpt.
El costo de Llmjacking a los titulares de cuentas
Alguien, al final, pagará todos los recursos de TI utilizados para generar imágenes NSFW y documentos escolares.
Los desarrolladores de ORP no quieren que estas facturas sean demasiado altas o, de lo contrario, la actividad anormal de sus usuarios probablemente aumentará las alarmas. Para tener esto en cuenta, crean sus programas en docenas, o incluso cientos de conjuntos de identificación diferentes asociados con diferentes cuentas. Un Sysdig de ORP grabado, por ejemplo, había incorporado 55 claves de API profundas distintas, además de las asociadas con otras aplicaciones de inteligencia artificial (IA). Al tener muchas claves en muchas aplicaciones, los ORP pueden llevar a cabo un equilibrio entre la carga, distribuir el uso ilegal lo menos posible.
Pero no siempre funciona de esta manera.
Como Morin nos recuerda: “Hablé un poco con un usuario de Twitter cuya cuenta personal de AWS fue comprometida por LLMJacking. Se despertó una mañana y su factura promedio de AWS de $ 2 – Él [mainly] Se usa para correo electrónico, generado en $ 730 en dos o tres horas. “
Fuente: Crystal Morin a través de LinkedIn
Nadie sabe exactamente cómo la víctima hizo que sus referencias de AWS se deslizaran, pero ya estaba en camino para acumular una factura de $ 20,000 y más. Su suerte fue tener alertas de costos en AWS, no están encendidas por defecto, lo que le permite identificar la actividad anónima temprano.
“Se puso en contacto con AWS Atención al cliente y les preguntó qué estaba pasando, y no tenían idea. Terminó cerrando su cuenta casi de inmediato, pero hubo un retraso en el informe de costos. Creo que estaba siendo, entre $ 10,000, entre $ 10,000 y $ 20,000 en total por aproximadamente medio día de uso “, dijo Morin.
AWS terminó repitiendo a la víctima. Sin embargo, Morin advierte: “Puedes imaginar lo que haría un ataque similar a nivel de la empresa, dado lo que podría pasarle a una sola persona”.